In bài viết

Việt Nam chính thức tham gia Liên minh Xác thực trực tuyến thế giới

(Chinhphu.vn) – Bộ TT&TT vừa công bố, Cục An toàn thông tin trực thuộc Bộ sẽ làm đại diện và trở thành 1 trong 10 thành viên cấp Chính phủ của Liên minh Xác thực trực tuyến thế giới. Sự tham gia này sẽ góp phần đưa Việt Nam nhanh chóng rời khỏi “vùng trũng” về xác thực bằng tên đăng nhập/mật khẩu/OTP tiềm ẩn nhiều rủi ro dễ bị tấn công, để chuyển sang xu hướng chủ đạo của thế giới hiện nay là xác thực mạnh không mật khẩu.

29/08/2023 17:10
Việt Nam chính thức tham gia Liên minh Xác thực trực tuyến thế giới - Ảnh 1.

Ông Trần Đăng Khoa, Phó Cục trưởng Cục An toàn thông tin, Bộ TT&TT phát biểu tại Hội nghị - Ảnh: VGP/HM

Tại Hội nghị Fido châu Á – Thái Bình Dương (Fido Apac Summit 2023) tổ chức tại Nha Trang ngày 28-30/8, ông Trần Đăng Khoa, Phó Cục trưởng Cục An toàn thông tin, Bộ TT&TT đã chia sẻ một báo cáo nghiên cứu về hoạt động xác thực trong ngành tài chính toàn cầu năm 2022.

Theo đó, có đến 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu (mật khẩu truyền thống), gây thiệt hại trung bình hàng triệu USD mỗi năm, ảnh hưởng nghiêm trọng đến uy tín và quá trình phát triển bền vững của doanh nghiệp.

Cũng theo báo cáo này, có tới 99% người tham gia nghiên cứu đều đồng ý rằng, các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần OTP sẽ không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại và tinh vi như hiện nay.

Ông Đỗ Ngọc Duy Trác, Tổng Giám đốc của Công ty Cổ phần dịch vụ an ninh mạng VinCSS cũng cho biết, khu vực châu Á - Thái Bình Dương đang trải qua giai đoạn thay đổi quan trọng, khi các mối nguy về tấn công mạng nhắm vào các phương thức xác thực truyền thống hay mật khẩu dùng một lần (OTP) ngày càng gia tăng và để lại những hậu quả ngày càng nặng nề. Điều này đã được chứng minh qua các cuộc tấn công lừa đảo thông qua email (phishing), mã độc đánh cắp thông tin tài khoản và thói quen sử dụng mật khẩu yếu của người dùng.

Năm 2022, số lượng sự cố mất an toàn thông tin xảy ra tại châu Á - Thái Bình Dương chiếm 31% tổng số lượng toàn cầu, trong đó chủ yếu là các sự cố về lộ lọt hoặc bị đánh cắp tài khoản.

Ông Ngô Minh Hiếu, chuyên gia của Trung tâm Giám sát an toàn thông tin Việt Nam (NCSC) cũng cho rằng, việc sử dụng mật khẩu như hiện nay rất khó để bảo vệ tài khoản vì hacker rất dễ đánh cắp tài khoản qua các thủ thuật như đoán password hay tấn công giả mạo.

Với những minh chứng trên, việc áp dụng các phương pháp xác thực mạnh mẽ và an toàn trở thành một nhu cầu cấp bách cho tất cả các tổ chức, cá nhân và doanh nghiệp trong giai đoạn hiện nay.

Việt Nam chính thức tham gia Liên minh Xác thực trực tuyến thế giới - Ảnh 2.

Các đại biểu trải nghiệm xác thực mạnh không mật khẩu. Ảnh: VGP/HM

Giải pháp thay thế xác thực truyền thống và mật khẩu OTP

Việc tham gia vào Liên minh Xác thực trực tuyến thế giới (Fido Alliance) sẽ góp phần đưa Việt Nam nhanh chóng rời khỏi "vùng trũng" về xác thực bằng tên đăng nhập/mật khẩu/OTP tiềm ẩn nhiều rủi ro dễ bị tấn công, để chuyển sang xu hướng chủ đạo của thế giới hiện nay là xác thực mạnh không mật khẩu.

Theo các chuyên gia tại Hội nghị, phương pháp xác thực mạnh không mật khẩu hiện nay có thể ngăn chặn các cuộc tấn công lừa đảo chiếm đoạt tài khoản đến 90%.

Theo ông Andrew Shikiar, Giám đốc Điều hành của Fido Alliance, hiện nay, chính phủ và các doanh nghiệp trong khu vực châu Á – Thái Bình Dương đã nhận thấy và bắt đầu áp dụng các biện pháp xác thực mạnh tiên tiến nhất, điển hình là xác thực mạnh chuẩn Fido2 để đối phó với các mối đe doạ về tấn công, lừa đảo qua mạng hiện nay.

Trên thế giới, các công ty lớn nhất về công nghệ hiện nay như Apple, Microsoft, Google, Intel… cũng đã tham gia Liên minh Xác thực trực tuyến thế giới.

Xác thực không mật khẩu theo tiêu chuẩn Fido là sử dụng phương pháp mã hoá công khai (public key cryptography) thay vì mật khẩu như xác thực truyền thống hiện nay.

Với xác thực không mật khẩu, sẽ không truyền bất kỳ thông tin xác thực nào qua mạng - người dùng xác minh mình trực tiếp trên thiết bị của họ (ví dụ, bằng cách sử dụng dấu vân tay hoặc mã PIN của thiết bị), sau đó một giao thức được mã hóa diễn ra giữa khóa công khai trên máy chủ (khoá này không chứa thông tin riêng tư của người dùng) và khóa riêng tư trên thiết bị cục bộ của người dùng. Giao tiếp này không thể bị hack hoặc sao chép vì các khóa cần phải khớp chính xác. Mặt khác, việc thử tấn công cũng đòi hỏi hacker phải sở hữu vật lý thiết bị của người dùng - nghĩa là loại tấn công từ xa là không thể.

Hội nghị Fido châu Á – Thái Bình Dương (Fido Apac Summit 2023) lần đầu tiên tổ chức tại Việt Nam với chủ đề "Kết nối khu vực vì tương lai số an toàn với xác thực mạnh không mật khẩu". Sự kiện thu hút đông đảo đại biểu từ các cơ quan quản lý nhà nước về an toàn thông tin của các quốc gia, các doanh nghiệp và chuyên gia lĩnh vực công nghệ, công nghiệp, tài chính, ngân hàng, an ninh mạng… trong khu vực.

Hiền Minh